安全公司卡巴斯基和域名服务OpenDNS分析了该恶意软件的运行情况

金融2020-03-23 15:29:06
导读根据6月4日发布的最新研究结果,Flame恶意软件似乎已经针对和其他中东国家,这是一种复杂的威胁,至少已经存在四年了。俄罗斯安全公司Kaspe

根据6月4日发布的最新研究结果,Flame恶意软件似乎已经针对和其他中东国家,这是一种复杂的威胁,至少已经存在四年了。俄罗斯安全公司Kaspersky Labs和域名服务提供商OpenDNS在对Flame的基础架构进行了为期一周的合作分析之后,报告称他们在过去四年中发现了至少85个用于托管命令与控制的域。与Flame关联的服务器。据OpenDNS称,前三个域于2008年3月2日注册。

大多数域以一串看上去无害的字符开头,例如横幅,flash,dns或服务器。OpenDNS研究副总裁Dan Hubbard在6月4日的新闻发布会上说,通过使用通用词构造名称,攻击者试图减少被感染机器与命令和控制服务器之间的通信被阻塞的可能性。

哈伯德说:“这是经过精心计划和执行的,因此从这个角度来看,这是一次非常复杂的攻击。”

卡巴斯基实验室,赛门铁克和其他安全公司于5月下旬发布了Flame的首次分析报告,此前的计算机和紧急响应小组将恶意软件的副本提供给了这些公司。在,黎巴嫩,叙利亚,苏丹以及中东和北非的其他国家中发现了受该程序感染的计算机。在欧洲国家和美国也发现了感染的迹象,但是分析了该计划的安全专家认为,该计划不一定针对这些国家。

卡巴斯基实验室高级研究员Roel Schouwenberg告诉记者,在安全公司发布初步研究成果数小时后,Flame的指挥和控制基础设施表面上被其运营商拉下了线。该公司使用污水池服务器(该服务器捕获了用于Flame的命令和控制基础结构的通信)来利用受感染计算机的网络。

在最新的分析中,OpenDNS和卡巴斯基实验室发现,大约有20个域注册表用于注册七个以上的域。此外,虽然这些域构成了Flame运营商使用的主要命令和控制通道,但受感染系统之间可能存在另一个通信通道,例如对等网络,Schouwenberg说。

Schouwenberg说:“过去一周,我们注意到一些受害者正在使用较新版本的信息。” “因此,即使指挥和控制基础设施出现故障,受害者的机器还是有所更新。”

与域注册中心GoDaddy一起进行的域注册活动分析,着重说明了Flame与之前的两种攻击Stuxnet和Duqu之间的区别。Flame操作员使用的命令和控制服务器都运行Ubuntu Linux,而Stuxnet和Duqu都使用CentOS进行操作。Duqu操作员“超级秘密”隐藏了提供恶意软件和命令的实际计算机的Internet地址,而Flame操作员从每个域的服务器运行其控制脚本。

卡巴斯基高级实验室专家Aleks Gostev写道:“从这个角度来看,我们可以说Duqu攻击者比起Flame操纵者要更加谨慎地隐藏自己的活动。”

免责声明:本文由用户上传,如有侵权请联系删除!